前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >研究人员发现MAC上的DLL劫持技术

研究人员发现MAC上的DLL劫持技术

作者头像
安恒信息
发布2018-04-11 14:38:49
1.1K0
发布2018-04-11 14:38:49
举报
文章被收录于专栏:安恒信息

DDL劫持不仅限于Windows:概念上类似的攻击也存在于OS X系统。

根据安全公司的最新研究,DLL劫持在Mac上也同样适用,可以用来绕过苹果GateKeeper等安全功能,使其感染电脑中易受攻击的地方。Wardle将在本周在温哥华举行的CanSecWest应用安全大会上分享这个问题。

“OS X dylib(dynamic library动态库)劫持在概念上类似于Windows的DDL劫持”,研究人员Wardle解释说,“在这两种情况下都存在这个情况,操作系统装载器在很多地方寻找所需的依赖库。如果在原位置没有找到正确的依赖库,比如,找到的是第一个目录进行装载,攻击者可以将恶意库种在这里。从此,每次启动这个程序时,无论是操作系统还是用户,装载器将发现并盲目下载攻击者的恶意库,因为装载器第一次首先找到的是攻击者种植恶意库的位置。”

攻击者依赖于利用易受攻击的app,Wardle计划推出一个开源的python脚本和带有用户界面的应用程序用来扫描这些恶意库。他说,这个程序可以扫描电脑中的150个脆弱的应用程序,包括苹果商店中的应用程序和第三方提供的app。攻击者绕过GateKeeper(GateKeeper有反恶意软件功能,允许用户限制应用程序的安装,这些应用程序必须来自木马感染性低的源。),OS X Lion 10.75,OS X Moutain Lion及以后的操作系统都包含这个功能。

“我将在会议上透露一些攻击细节”Wardle说,“但是,我现在可以先总结一下。GateKeeper不验证下载的信息,直接下载dmg安装包。这种情况为攻击者创造了一种DLL场景,攻击者可以自行创建GateKeeper信任的软件包或者感染合法下载的软件,当用户打开这些软件时,执行恶意代码。所以即使用户设置了GateKeeper只允许执行来自苹果商店的程序,电脑还是会下载攻击者的恶意代码并且允许这些程序执行,导致用户被感染。”

“这种攻击可以被用于以下情况:持久性,长时间载入过程的注入等”,Wardle解释说,“实现类似目标的其他的攻击方式非常复杂,并且容易检测并防止。使用这种dylib劫持攻击,攻击者可以通过简单的空投捆绑式dylib实现相同的目标。这就是dylib劫持攻击,它可以结合各种工具,使攻击过程既简单又对用户的计算机进行毁灭性攻击。”

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2015-03-19,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 安恒信息 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档